Backup uratuje administratora, ale kto sprawdzi backup?

Przeczytaj także: Bad Rabbit. Atakuje nowa epidemia ransomware

W bieżącym roku mieliśmy do czynienia z dwoma potężnymi atakami ransomware. Mowa tu o WannaCry oraz ExPetr. Dziś już wiemy, że na nich się nie skończyło - cyberprzestępcy przyszykowali trzecią, globalną epidemię złośliwego oprogramowania żądającego okupu. To Bad Rabbit, który przypomina nam, że w dobie ransomware bezpieczeństwo IT nie jest stanem, ale dynamicznie zmieniającym się procesem, który wymaga nieustannej czujności i szybkiej adaptacji do nowo pojawiających się zagrożeń.

Czy polskie firmy są gotowe zmierzyć się z działalnością cyberprzestępczego półświatka? Czy firmy i instytucje wiedzą, jak poradzić sobie z atakami szyfrującymi i innymi incydentami prowadzącymi do utraty danych? Obserwacjami na ten temat podzielili się uczestnicy zorganizowanej w Poznaniu konferencji Advanced Security Systems. W ankiecie przeprowadzonej przez firmę ANZENA wypowiedziało się przeszło 100 administratorów, menedżerów i specjalistów ochrony sieci.

Aż 49% respondentów doświadczyło infekcji szyfrującej w sieci własnej firmy lub instytucji, a 88% osobiście zna inne podmioty zaatakowane przez ransomware. Nic więc dziwnego, że tylko 7% specjalistów uważa środki bezpieczeństwa wdrożone w swoim miejscu pracy za wystarczające do powstrzymania takiego ataku. W teorii świadomość luk bezpieczeństwa powinna skłaniać administratorów do częstego tworzenia backupu, jako najszybszego antidotum na szyfrujące infekcje. Tak jest w istocie - wszyscy ankietowani deklarowali regularne tworzenie backupu swoich kluczowych danych. Jak regularne?

U 71% specjalistów ostatni plik backupu miałby jeden dzień. "Kilka dni" to wybór 17% badanych, 5% określiło wiek swojego backupu na "ponad tydzień", a u kolejnych 5% ostatni utworzony plik mógłby mieć ponad miesiąc. Ile kosztuje utrata danych z miesiąca pracy dużej firmy? W najłagodniejszych przypadkach przynajmniej stanowisko administratora... jednak jej realne koszty mogą nadwyrężyć kondycję nawet stabilnego biznesu, nie mówiąc o drobniejszych firmach i podmiotach z mniejszą płynnością finansową. Ostatnie 2% badanych nie potrafiło oszacować aktualności swoich kopii bezpieczeństwa, co może oznaczać, że backupowi nie poświęca się tam zbytniej uwagi.

A jak wyglądają statystyki testowego przywracania backupu. W idealnym świecie takie sprawdzanie odbywa się codziennie, bo niepoprawnie wykonany plik często przekreśla szanse odzyskania danych. Uczestnicy konferencji pokazali jednak, że przy napiętym grafiku przeciętnego administratora bliższe realiom są testy co kilka-kilkanaście dni. Tylko 5% badanych sprawdziło swój backup w przeciągu ostatniego tygodnia, a 11% w ciągu miesiąca poprzedzającego konferencję. Co kwartał testuje swoje kopie 34% respondentów. Odpowiedź "raz w roku" wskazało 19% uczestników, a 29% przyznało, że swojego backupu nie weryfikuje wcale. Co na to ekspert?

- Jeśli co piąty administrator testuje backup raz w roku , a co trzeci nie robi tego wcale, to ich optymizm przeczy tezie o czarnowidztwie Polaków - żartuje Krystian Smętek, inżynier systemowy rozwiązań StorageCraft ShadowProtect SPX - A już poważnie: nasze bezpieczeństwo, czy raczej jego poczucie jest tylko psychologicznym założeniem, że dziś znów uda się ominąć "cudze" wypadki i katastrofy. Tymczasem w IT bez aktualnego, sprawdzonego backupu takie poczucie to jedynie wydmuszka, którą brutalnie zgniecie awaria serwera czy nowy atak szyfrujący. Z tego powodu regularny backup i jego testy powinny być wpisane w politykę bezpieczeństwa każdej organizacji, a jej przestrzeganie równie ważne jak rosnące słupki sprzedaży. W coraz większej mierze zależą one od aktualności i dostępności naszych danych.

Jeżeli nie mamy pewności, czy nasz backup jest tworzony i testowany w sposób optymalny warto zrewidować swoją politykę bezpieczeństwa. Zebrane tam procedury postępowania stanowią pierwsze wsparcie administratora na wypadek kryzysowej sytuacji. Oczywiście przy założeniu, że są aktualne, a z tym niestety bywa różnie.

- Przeprowadzając audyty nierzadko spotykam się z politykami, których faktyczna realizacja sięga 30% planu - komentuje Karolina Kraśniewska, Administrator Bezpieczeństwa Informacji i audytor firmy ANZENA - Dobra polityka bezpieczeństwa powinna stanowić wypadkową przyjętych praktyk i zasobów zespołu IT, więc piszmy ją tak, by wszystkie ujmowane działania były realnie wykonalne w założonych przedziałach czasowych. Konsekwencja w tym zakresie nie tylko podniesie realne bezpieczeństwo naszego biznesu, ale też pomoże spełnić wymogi ochrony danych dyktowane unijnym RODO.

Rozporządzenie o Ochronie Danych Osobowych wejdzie w życie 25 maja 2018r.